Не, тут я пожалуй не отвечу. По мне так должны быть так ( а правильно ли это - я не знаю).
Всё внутри базы шифровано. Выдается по запросу оператору дешифруя его личным ключом. Количество ключей ограничено. Ключи валидны в течение определенного времени. Один запрос за продолжительный период времени.
если возьмут слепок базы - не расшифруют.
если будут делать запросы служебно - получат лишь малую часть информации.
Ты на это смотришь с точки зрения продуктовой безопасности, а не с точки зрения пролезть с системой под требования регулятора
Оно так не работает, никто лишний раз не будет морочать себе голову архитектурой, если нет экономических рисков.
В данном случае единственный экономический риск - получить пизды от регулятора